1
pimin 2015-05-26 18:45:00 +08:00 via iPhone
通常来说win服务器可以登录3389基本上是拿到管理员权限。所有文件对对方都是可见的。
然而,NT AUTHORITY\ANONYMOUS LOGON 并不是登陆3389日志。 |
2
pimin 2015-05-26 18:49:51 +08:00 via iPhone
首先停用所有可疑账户,自用管理员权限账户更改密码,然后排查对方渗透方式,做好善后。
|
3
kang000feng OP @pimin 谢谢,请问NT AUTHORITY\ANONYMOUS LOGON 是什么日志? 我服务器上浏览器中保存的密码是不是都不安全了?
|
4
pimin 2015-05-26 20:25:48 +08:00 via iPhone
@kang000feng
代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。 比如FTP之类服务,单说这条日志很正常,不存在风险。但是不能确定你服务器有没有其它风险。 建议启用证书登陆,麻烦一些换来高安全性。 和ssh一样,单纯密码登陆目前都算是缺点。 即便是服务器被黑,浏览器保存密码通常也不容易被利用,因为很少有人用服务器上的浏览器,搜集服务器信息也很少打这方面主意。 |
5
kang000feng OP @pimin 谢谢,请问如何排查呢?能否给个思路?我用process explorer查看所有进程,没发现可疑,除了暴力穷举破解外,还是其他可能吗? 启用证书是指SSL加密认证吗?那个据说也不安全 用RC4加密,而且远程服务器安装证书组件需要插入光盘,VPS,没法弄.
|
6
pimin 2015-05-26 21:55:45 +08:00 via iPhone
首先,进程、服务、启动项过一遍
然后用工具看下有没有隐藏账户 最后再登陆3389时候试试5下shift和win+u有没有被留后门,改掉3389端口。 远程桌面暴力破解难度大,而且会留下一大堆日志文件。 通常来说,都是系统其它程序漏洞、配置不正确导致被入侵。 比如php之类web程序被拿到webshell,相关目录有执行权限利用本地溢出拿到系统权限。 再比如web程序有SQL注入漏洞,mssql以系统管理员权限运行直接执行cmd命令拿到系统权限。 程序、系统没有及时更新补丁被远程溢出等。 远程无法插光盘问题可通过虚拟光驱解决。 1.本地挂载光盘远程桌面带到服务器 2.vps下载光盘,虚拟光盘加载 |
7
kang000feng OP 谢谢 @pimin ,我那台服务器是刚启用,什么都没装,firewall一直关闭直到前几天开了才发现被黑的, 现在防火墙3389端口已指定ip登陆,并只开放该端口,这样以后还有被入侵的可能吗?
|
8
pimin 2015-05-28 20:18:02 +08:00 via iPhone
@kang000feng
可能性很小 |